写点什么

专访安全宝 CEO 马杰:安全需要做到整条战线的严丝合缝

  • 2011-12-22
  • 本文字数:1509 字

    阅读完需:约 5 分钟

前不久,首次在中国举办的 TechCrunch Disrupt 北京 2011 大会上,创新工场旗下公司“安全宝”获得了创业项目大赛的第二名。他们开发的"安全宝"网站保护系统,为社区内的网站提供一站式安全解决方案,帮助网站防止诸如XSS、SQL 注入、木马、零日攻击、僵尸网络等各种网站安全问题。

针对近期频繁发生的互联网公司用户信息泄露事件,InfoQ 中文站专访了安全宝公司的CEO马杰

InfoQ:这次在多家互联网公司发生的用户信息泄露事件,您觉得发生的原因有哪些?

马杰:我觉得有几个方面的原因。

首先,所有的厂家应该意识到安全是一个长期的过程,不是曾经做过几次相关工作就可以的。我相信每个厂家都是做过一些安全工作的,可是没有长期坚持,所以有问题发生的时候,会给黑客一个机会。

第二,比方说这次信息泄露里面暴露出来的一些密码,并没有加密,说明前端的开发人员对安全的了解还是欠缺。从这个角度来说,这些公司需要对全部开发人员进行安全培训。

第三,这里头能看出一个问题,就是说我们事实上安全的责任在哪?如果把安全的责任推到前端负责业务逻辑开发的工程师身上,实际上他们不是安全专家,但是我们要求他们做出安全专家的事情来,这是现有的整个开发流程、管理流程上错误的地方,也是导致这种事件的根本原因。我们所有人都在要求前端的工程师必须做好安全,那他们明明不是安全专家你怎么能让他做安全呢?总是有疏漏的。所以这就像我们要求自己家里老婆管钱,但是需要老婆给我做个财务分析,她管管钱还行,但她不是专业做财务的人。我觉得这是现在行业的一个问题,一个现状,同时也是很多安全问题的本质原因。

InfoQ:您刚才提到 Web 前端的开发,您觉得对于前端开发来说最重要的安全考量是哪些呢?是否可以举三个最重要的因素?

马杰:这个问题我比较不想回答。为什么?是因为我说三个点,就会漏掉可能 13 个点。为什么?因为安全它是一条很长的防线,任何一个点的缺失就会导致整条防线其实白建了,所以我认为这本身也是对安全的不够了解所造成的。安全不是通过我们加强就可以达到效果的,安全需要做到整条战线的严丝合缝,所以它是一个系统工程。它首先需要参与的人要有安全意识,同时还需要大家也能把各个功能、模块、流程互相之间的缝要接好。

InfoQ:所以您的建议就是:不从 Web 前端,或者是后端服务器这个角度考虑,而是要有专门的专家队伍来去从整体上去思考这件事?

马杰:对,只去解决一、两个点,最后会给自己造成一种安全的幻觉。安全问题需要整体解决。

InfoQ:InfoQ 的读者也是互联网用户,您对他们有哪些安全方面的建议呢?

马杰:几个建议。首先,在各个网站上不要大量使用相同的密码。像这次我们密码泄露的话,可能在别的网站的密码就会被别人猜到。

第二,去访问一些网站的时候,即使是一些比较知名的网站,也不能完全信任,比方说他说要安装一个什么东西的时候。因为每天在中国都会有很多网站被黑客,比如说被黑客挂马,一些网站本身虽然信誉很好,但是他有可能就被别人在里面挂进去病毒,所以你不能信任网站上过来的每一个要求你安装或执行的东西。

第三,在客户端本身,自己在 Windows 上面还是要安装比较合理的一些安全软件。我觉得做到这几点可能就会好很多。

InfoQ:从整体上去考量安全这件事,我觉得这算是这次事件给大家的一个经验教训。除了这点之外,您还有其他建议吗?

马杰:从整体考虑很重要。另外,我们不要把安全责任推到那些本来不应该负责安全的人身上,而是应该让专业的人去做专业的事情。

InfoQ 安全系列—专访韩轶平:整个行业都要提高安全意识

InfoQ 安全系列—专访土豆网技术副总黄冬:后端服务器的隔离非常重要

InfoQ 安全系列—专访友录创始人姜洋,谈移动客户端安全

InfoQ 安全系列—安全问题成为社区热点

2011-12-22 08:052654
用户头像

发布了 479 篇内容, 共 171.9 次阅读, 收获喜欢 52 次。

关注

评论

发布
暂无评论
发现更多内容

龙蜥操作系统荣登开放原子开源基金会“2023 生态开源项目”奖项榜单

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

使用Selenium执行JavaScript脚本:探索Web自动化的新领域

霍格沃兹测试开发学社

走进龙芯中科交流会圆满结束!深入探讨未来合作规划 | 理事长走进系列

OpenAnolis小助手

操作系统 国产操作系统 龙蜥社区

走进浪潮信息,深入探讨社区发展规划交流会圆满结束 | 理事长走进系列

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

使用Docker快速搭建Web服务器Nginx

霍格沃兹测试开发学社

使用Selenium模拟鼠标滚动操作的技巧

霍格沃兹测试开发学社

龙蜥社区第 22 次运营委员会圆满结束!

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

59 人参会,探讨新年发展!龙蜥社区技术委员会、运营委员会会议圆满结束

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

解决过期苹果App应用的方法

59 人参会,探讨新年发展!龙蜥社区技术委员会、运营委员会会议圆满结束

OpenAnolis小助手

操作系统 国产操作系统 龙蜥社区

龙年新目标!龙蜥安全联盟第三次月会圆满结束

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

ai制图软件有哪些?这5款自动生成绘画工具值得推荐!

彭宏豪95

人工智能 在线白板 办公软件 AIGC AI绘画

龙蜥社区第四届理事大会圆满召开!中兴、英特尔、浪潮成为副理事长单位!龙蜥高级顾问团成立!

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

运维人少,如何批量管理上百个微服务、上千条流水线?

阿里巴巴云原生

阿里云 云原生 云效

GOPS全球运维大会2024深圳站亮点抢先看!

博睿数据

龙蜥系统运维联盟第二次会议圆满召开,深度探讨联盟发展方向

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

走进 Intel,深度探讨合作发展规划交流会圆满结束 | 理事长走进系列

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

运维人少,如何批量管理上百个微服务、上千条流水线?

阿里云云效

阿里云 云原生 云效

Lambda 表达式及线程安全最佳实践

伤感汤姆布利柏

谈谈我对 AIGC 趋势下软件工程重塑的理解

阿里巴巴云原生

阿里云 云原生 AIGC

详解CloudBees CI,助力Jenkins用户顺利迁移并构建高效CI/CD平台

龙智—DevSecOps解决方案

ci 持续集成 CD

Selenium Headless模式:无头浏览器的使用与优势

霍格沃兹测试开发学社

使用selenium轻松实现元素拖拽

霍格沃兹测试开发学社

可观测性平台如何助推保险行业数智化转型与升级

博睿数据

龙蜥社区荣获 2023 年度龙芯“十佳基础软件合作伙伴”奖

OpenAnolis小助手

开源 操作系统 国产操作系统 龙蜥社区

龙智亮相2024国际集成电路展览会暨研讨会(IIC Shanghai),分享芯片研发及管理解决方案与技术实践

龙智—DevSecOps解决方案

芯片研发

产学研用全覆盖!信通院、中兴通讯、复旦大学等 12 家厂商共同成立龙蜥社区系统运维联盟(SOMA)

OpenAnolis小助手

操作系统 国产操作系统 龙蜥社区

iPaaS平台能帮助企业解决什么问题?

RestCloud

数据集成 应用集成 ipaas

Optimism Hackathon: 加速 AI 与 Blockchain Data 发展

Footprint Analytics

大数据 gamefi #人工智能

专访安全宝CEO马杰:安全需要做到整条战线的严丝合缝_安全_郑柯_InfoQ精选文章